El martes de parches de marzo Microsoft ha publicado correcciones para 76
vulnerabilidades, incluidas 9 correcciones críticas y dos explotadas
activamente en la naturaleza (CVE-2023-23397,
CVE-2023-24880) por diferentes actores de amenazas.
Acerca de CVE-2023-23397
CVE-2023-23397 (9.8) es una vulnerabilidad de Escalamiento de Privilegios (EoP)
crítica en Microsoft Outlook que se activa cuando un atacante envía un mensaje
con una propiedad MAPI extendida con una ruta UNC (tipo \10.1.1.1) a un
recurso compartido SMB (TCP 445) en un servidor controlado por un actor de
amenazas.
«La conexión al servidor SMB remoto envía el mensaje de negociación NTLM
del usuario, que el atacante puede transmitir para la autenticación contra
otros sistemas que admitan la autenticación NTLM», explica Microsoft.
En esta elevación de privilegios en Outlook,
el atacante podría hacerse con el hash NTLMv2, lo que le permitiría
autenticarse en red contra otros sistemas. No se requiere interacción
del usuario.
Al momento de recibir un correo en Outlook, este busca la ruta UNC y pasa el
hash de autenticación NTLMv2.
Según Sergio de los Santos
(aka
@ssantosv), se abusa de una función llamada PidLidReminderFileParameter que
permite que se establezca el sonido de una alerta.
Con esta función, se puede usar otra llamada PidLidReminderOverride, que
como el propio nombre indica, permite que el atacante establezca el sonido y
lo sobreponga al establecido. Y ahí, se puede escribir la ruta UNC.
Aunque Microsoft no ha dado detalles técnicos, sí que ha liberado un script en
PowerShell para administradores de Exchange que permite buscar ese parámetro y
saber si apunta a un UNC.
Satnam Narang, ingeniero senior de investigación del personal de Tenable,
señala que las vulnerabilidades de Outlook a menudo son desencadenables por la
funcionalidad del Panel de vista previa, pero esta no.
«Esto se debe a que la vulnerabilidad se activa en el lado del servidor de
correo electrónico, lo que significa que la explotación ocurriría antes de
que la víctima vea el correo electrónico malicioso».
La falla afecta a todas las versiones compatibles de Microsoft Outlook para
Windows,
pero no a Outlook para Mac, iOS o Android, ni a Outlook en la web.
«Los servicios en línea como Microsoft 365 no admiten la autenticación NTLM
y no son vulnerables a ser atacados por estos mensajes», señaló Microsoft.
La vulnerabilidad fue señalada por el CERT ucraniano y los equipos de Incident
and Treat Intelligence de Microsoft. La empresa evalúa que un actor de
amenazas con sede en Rusia usó el exploit parcheado en CVE-2023-23397
en ataques dirigidos contra un número limitado de organizaciones en los
sectores gubernamental, de transporte, energético y militar en Europa, y
compartió un script
que las organizaciones pueden usar para verificar si han estado entre los
objetivos.
El investigador de MDSec,
Dominic Chell, tiene un
excelente artículo
sobre cómo se puede explotar fácilmente CVE-2023-23397.
Acerca de CVE-2023-24880
CVE-2023-24880 (5.1) es una vulnerabilidad que permite a los atacantes eludir la
función Windows SmartScreen.
«Cuando descarga un archivo de Internet, Windows agrega el identificador de
zona o Mark of the Web (MoTW) como una stream NTFS al archivo. Entonces,
cuando ejecuta el archivo, Windows SmartScreen verifica si hay un
identificador de zona Alternate Data Stream (ADS) adjunto al archivo. Si el
ADS indica ZoneId=3, lo que significa que el archivo se descargó de
Internet, SmartScreen realiza una verificación de reputación».
En resumen se logra saltear para que el archivo malicioso no pase por el
análisis de seguridad. Esta vulnerabilidad se puede explotar creando un
archivo malicioso que evade las defensas MoTW, lo que significa que no se
activarán medidas de protección como Windows SmartScreen y Microsoft Office
Protected View.
Los investigadores Benoît Sevens y Vlad Stolyarov del Threat Analysis Group
(TAG) de Google informaron a Microsoft sobre la explotación
in-the-wild de la vulnerabilidad, que detectaron que estaba siendo
explotada para entregar el ransomware Magniber.
«Los atacantes están entregando archivos MSI firmados con una firma
Authenticode no válida pero especialmente diseñada. La firma hace que
SmartScreen devuelva un error para que se omita el cuadro de diálogo de
advertencia de seguridad que debería mostrarse cuando un archivo que no es
de confianza contiene una Marca de la Web (MotW)», explicó el equipo.
TAG ha observado más de 100.000 descargas de archivos MSI maliciosos desde
enero de 2023, con más del 80% a usuarios en Europa, una diferencia notable
con respecto a la orientación típica de Magniber, que generalmente se enfoca
en Corea del Sur y Taiwán.
También señalaron que, en septiembre y noviembre de 2022, los actores de
amenazas utilizaron una vulnerabilidad de omisión de SmartScreen similar
(CVE-2022-44698) para entregar el ransomware Magniber y el ladrón de
información Qakbot, antes de que
se reparara
la falla en diciembre de 2022.
El problema,
dicen, es que el parche era demasiado «estrecho», por lo que los atacantes
iteraron y descubrieron nuevas variantes. Al reparar un problema de seguridad,
existe una tensión entre una solución localizada y confiable y una solución
potencialmente más difícil del problema de causa raíz subyacente.
Debido a que no se abordó la causa raíz detrás de la omisión de seguridad de
SmartScreen, los atacantes pudieron identificar rápidamente una variante
diferente del error original. Project Zero ha escrito y presentado
extensamente sobre esta tendencia, y
recomienda varias prácticas
para garantizar que los errores se solucionen de manera correcta y completa.
Otras vulnerabilidades
Dustin Childs, de la iniciativa Zero Day de Trend Micro,
también destacó
una
falla de RCE
de pila de protocolo HTTP/3 que se puede usar como gusano (CVE-2023-23392) que se puede explotar en una configuración común de Windows 11 y Windows
Server 2022, y RCE potencialmente que se puede usar como gusano en el
Protocolo de mensajes de control de Internet (CVE-2023-23415).
Agregue a esa lista
CVE-2023-23416, un RCE en Windows Cryptographic Services.
«Para una explotación exitosa, se debe importar un certificado malicioso en
un sistema afectado. Un atacante podría cargar un certificado en un servicio
que procesa o importa certificados, o un atacante podría convencer a un
usuario autenticado para que importe un certificado en su sistema», señaló la empresa.
Fuente:
HelpNetSecurity
Los comentarios están cerrados.